Ekstremt kritisk CSS-feil i IE

Microsoft bekrefter angrep.

Microsoft har utgitt et varsel om en sårbarhet i Internet Explorer 6, 7 og 8, som kan utnyttes av angripere til å kjøre vilkårlig kode på systemet. IE9 beta og nyere skal ikke være berørt.

Det er kjent at rettede angrep allerede blir utført, første og fremst mot IE6 og IE7 på Windows XP. IE8 skal i større grad kunne hindre angrep fordi DEP (Data Execution Prevention) er aktivert som standard. DEP støttes også av de eldre IE-utgavene, men er der ikke aktivert som standard. DEP hindrer at kode kan kjøres i systemminne som er markert som «ikke kjørbart».

Ifølge sikkerhetsselskapet Secunia skyldes sårbarheten at for lite minne settes av til å lagre visse kombinasjoner av CSS-regler. Dette kan utnyttes til å overskrive en byte i en virtuell tabellpeker og fremkalle brukerkontrollerte data i minnet ved hjelp av en spesielt utformet webside.

Microsoft vurderer nå sårbarheten og tiltakene som må gjøres. Foreløpig avvises det ikke at en ekstraordinær utgivelse kan være nødvendig. I alle fall dersom selskapet ikke rekker å rette feilen innen kommende tirsdag, som er neste faste dag for utrulling av sikkerhetsoppdateringer fra Microsoft.

I tillegg til å sørge for at DEP er aktivert, kan brukere blant annet velge å overstyre nettsteders stilsett med et brukerdefinert stilsett. Flere detaljer om dette finnes på denne siden, under Suggested Actions og Workarounds.

Til toppen